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(54) Bezeichnung: Verwalten eines Fehlversuchszahlers in einem tragbaren Datentrager 

(57) Zusammenfassung: Bei einem Verfahren zum Verwal- C START ") 

ten eines Fehlversuchszahlers (26) in einem nicht-fluchti- 
gen Speicher eines einen Sicherungspuffer aufweisenden, 
tragbaren Datentragers wird ein Eintrag (34) in den Siche- 
rungspuffer (30) des Datentragers eingeschrieben, wobei 
der Eintrag (34 ) einen Wert enthalt, der einem neuen Stand 
des Fehlversuchszahlers (26) nach einem angenommenen 
Fehlversuch entspricht, so dafi dieser Wert bei einem zu- 
mindest im Zusammenhang mit einem Neustart des Daten- 
tragers ausgeosten Wiederherstellungsvorgang in den 
Fehlversuchsz;ahler (26) eingeschrieben wird. Ein tragba- 
rer Datentrager und ein Computerprogrammprodukt wei- 
sen entsprechende Merkmale auf. Die Erfindung stellt eine 
Technik zum Verwalten eines Fehlversuchszahlers in ei- 
nem tragbaren Datentrager bereit, die ohne Sicherheitsein- C.* j 
bufcen nur einen geringen Zeitbedarf im Gutfall aufweist 
und nur eine geringe Belastung des nicht-fluchtigen Spei- 
chers des Datentragers verursacht. 
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Beschreibung 

[0001] Die Erfindung betrifft allgemein tragbare Da- 
tentrager wie z.B. Chipkarten (smart cards) und Chip- 
module in unterschiedlichen Bauformen. Spezieller 
betrifft die Erfindung die Verwaltung von Fehlver- 
suchszahlern in solchen Datentragern. 
[0002] Fehlversuchszahler dienen allgemein der 
Uberwachung der Anzahl von Fehlversuchen beim 
Ausfuhren eines geschutzten Vorgangs. Bei Uber- 
schreitung einer vorgegebenen Fehlversuchs-Maxi- 
malzahl werden einzelne Oder alle Funktionen des 
Datentragers gesperrt. Dies ist besonders fur sicher- 
heitskritische Anwendungen wichtig, weil jeder Fehl- 
versuch potentiell auf einen Angriff hinweisen kann. 
Durch Fehlversuchszahler wird in der Regel die Ein- 
gabe von geheimen Kennwerten wie z.B. Schlusseln 
oder personlichen Geheimzahlen (PINs - personal 
identrfication numbers) abgesichert, urn einen An- 
greifer daran zu hindern, den geheimen Kennwert 
durch Ausprobieren einer Vielzahl von Eingaben zu- 
fallig zu erraten. In diesem Zusammenhang wird der 
Fehlversuchszahler oft auch als Fehlbedienungszah- 
ler (FBZ) bezeichnet. 

Stand derTechnik 

[0003] Auf Seite 504 des Buches "Handbuch der 
Chipkarten" von W. Rankl und W. Effing, Carl Hanser 
Verlag, 3. Auflage, 1999, ist es als Angriffsmoglich- 
keit beschrieben, die Spannungsversorgung der 
Chipkarte nach Erkennung eines Fehlversuchs, aber 
bevor der Stand des Fehlversuchszahlers verandert 
wird, abzuschalten. Wenn dies gelingt, kann die 
durch den Fehlversuchszahler bewirkte Beschran- 
kung der Versuchsanzahl ausgehebelt werden. Es 
wird daher vorgeschlagen, den Stand des Fehlver- 
suchszahlers vor der Ausfuhrung des geschutzten 
Vorgangs zunachst immerzu erhohen, so daft bei ei- 
ner Spannungsunterbrechung ab diesem Zeitpunkt 
stets ein Fehlversuch registriert wird. Erst nach einer 
erfolgreichen Ausfuhrung des geschutzten Vorgangs 
wird der Zahlerstand wieder auf den ursprunglichen 
Wert oder auf einen vorgegebenen Initialwert zuriick- 
gesetzt 

[0004] Dieses Verfahren hat allerdings den Nach- 
teil, daft der Zahlerstand im Gutfall zwei Mai veran- 
dert werden muB. Dies stellt einen erheblichen Zeit- 
aufwand und eine erhebliche Belastung des 
nicht-fluchtigen Speichers, in dem der Fehlversuchs- 
zahler angelegt ist, dar. Bei typischen Implementie- 
rungen mussen namlich bei jeder Veranderung des 
Fehlversuchszahlers auch noch Fehlererkennungs- 
daten zur Absicherung gegen Speicherfehler ge- 
schrieben werden. Diese Schreibvorgange mussen 
uberdies als atomare Transaktion ausgefuhrt wer- 
den, so daft weiterer Aufwand zur Verwaltung eines 
Sicherungspuffers erforderlich ist. 
[0005] Aus dem US-Patent 4,922,456 ist ein Verfah- 
ren zum Schreiben von Daten in einen nicht-fluchti- 



gen Speicher bekannt, bei dem die Daten und deren 
Zieladresse im Speicher zunachst in einen Puffer ge- 
schrieben werden. Erst nach Abschluft dieses 
Schreibvorgangs werden die Daten in den 
nicht-fluchtigen Speicher ubertragen. Wird der Uber- 
tragungsvorgang durch eine Spannungsunterbre- 
chung gestort, so wird er bei der nachsten Inbetrieb- 
nahme des Systems nachgeholt. 
[0006] Das deutsche Patent DE 196 00 081 C2 of- 
fenbart ein Verfahren zur Sicherung der Integritat von 
Daten bei einer Kommunikation unter Beteiligung ei- 
ner Datentragerkarte, bei dem eine Kopie eines zu 
verandernden Datenbestandes in einem Schatten- 
speicher angelegt wird und die einzelnen Schreibvor- 
gange nur an dem Datenbestand oder nur an dessen 
Kopie ausgefuhrt werden. 

Aufgabenstellung 

[0007] Die Erfindung hat die Aufgabe, die genann- 
ten Probleme zumindest zum Teil zu losen. Insbeson- 
dere soil durch die Erfindung eine Technik zum Ver- 
walten eines Fehlversuchszahlers in einem tragba- 
ren Datentrager bereitgestellt werden, die ohne Si- 
cherheitseinbuften einen moglichst geringen Zeitbe- 
darf im Gutfall aufweist und eine moglichst geringe 
Belastung des nichtfluchtigen Speichers des Daten- 
tragers verursacht. 

[0008] Erfindungsgemaft wird diese Aufgabe ganz 
oder zum Teil gelost durch ein Verfahren mit den 
Merkmalen von Anspruch 1, einen Datentrager ge- 
maft Anspruch 11 und ein Computerprogrammpro- 
dukt gemaft Anspruch 12. Die abhangigen Anspru- 
che definieren bevorzugte Ausgestaltungen der Er- 
findung. Die Aufzahlungsreihenfolge der Schritte in 
den Verfahrensanspruchen soli nicht als Einschran- 
kung des Schutzbereichs verstanden werden. Es 
sind vielmehr Ausgestaltungen der Erfindung vorge- 
sehen, bei denen diese Verfahrensschritte in anderer 
Reihenfolge oder ganz oder teilweise parallel oder 
ganz oder teilweise ineinander verzahnt (interleaved 
ausgefuhrt werden. 

[0009] Die Erfindung geht von der Grundidee aus, 
zum Zwecke der Absicherung des Fehlversuchszah- 
lers gegen eine Unterbrechung der Versorgungs- 
spannung des Datentragers einen Sicherungspuffer 
des Datentragers einzusetzen. Der Datentrager ist so 
eingerichtet, daft bei einem Wiederherstellungsvor- 
gang Daten aus aktiven Eintragen des Sicherungs- 
puffers in den Speicher des Datentragers ubertragen 
werden; ein solcher Wiederherstellungsvorgang wird 
zumindest im Zusammenhang mit einem Neustart 
des Datentragers, z.B. nach einem Ausfall der Ver- 
sorgungsspannung, ausgelost. Erfindungsgemaft ist 
nun vorgesehen, in den Sicherungspuffer einen Ein- 
trag einzuschreiben, der einen Wert enthalt, welcher 
einem neuen Stand des Fehlversuchszahlers nach 
einem angenommenen Fehlversuch entspricht. 
[0010] Die erfindungsgemafte Nutzung des Siche- 
rungspuffers bewirkt, daft auch bei einem Ausfall der 
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Versorgungsspannung ein neuer Wert des Fehlver- 
suchszahlers, dor den Fehlversuch wiedergibt, in den 
Fehlversuchszahler eingeschrieben wird. Angriffe 
wie die eingangs mit Hinweis auf das Buch von Rankl 
und Effing genannten werden damit zuverlassig ver- 
mieden. Im Gutfall, also wenn der geschutzte Vor- 
gang erfolgreich ausgefuhrt worden ist, braucht der 
Fehlversuchszanler nicht verandert zu werden, so- 
fern er nicht auf einen vorgegebenen Initialwert ge- 
setzt werden soil. Insgesamt ergibt sich somit im Gut- 
fall ein erheblich geringerer Zeitaufwand und eine er- 
heblich geringere Belastung des nicht-fluchtigen 
Speichers durch Schreibvorgange. 
[0011] Erfindungsgemafc wird durch den Fehlver- 
suchszahler die Anzahl von Fehlversuchen bei der 
Ausfuhrung eineis geschutzten Vorgangs uberwacht. 
Der geschutzte Vorgang kann z.B. ein als "Schlussel- 
operation" bezeichneter Vergleich eines internen ge- 
heimen Kennwerts mit einem von aufien in den Da- 
tentrager eingegebenen Wert sein. Ist dieser Ver- 
gleich erfolgreich, so wird vorzugsweise der Stand 
des Fehlversuchszahlers nicht verandert oder - falls 
erforderlich - auf einen Initialwert zuruckgesetzt. Fer- 
ner wird dann in bevorzugten Ausfuhrungsformen der 
Inhalt des Sicherungspuffers verworfen. 
[0012] Bei einer fehlgeschlagenen Ausfuhrung des 
geschutzten Vorgangs ist dagegen vorzugsweise 
eine Veranderung des Standes des Fehlversuchs- 
zahlers vorgesehen, die in unterschiedlichen Ausge- 
staitungen entweder eine Dekrementierung oder eine 
Inkrementierung sein kann. Urn diese Veranderung 
zu bewirken, kann in manchen Ausfuhrungsformen 
der Erfindung der Wiederherstellungsvorgang auch 
ohne einen Neustart des Datentragers ausgefuhrt 
werden. 

[0013] Vorzugsweise ist der Sicherungspuffer Teil 
eines Transaktionsmechanismus, der vom Betriebs- 
system des Datentragers auch zu anderen Zwecken 
- also nicht nur zur Verwaltung des Fehlversuchszah- 
lers - bereitgestellt wird. Dieser Transaktionsmecha- 
nismus kann so ausgestaltet sein, dafi der Siche- 
rungspuffer normalerweise entweder eine Kopie des 
ursprunglichen Speicherinhalts vor Beginn der Trans- 
aktion oder ein Duplikat der einzuschreibenden Da- 
ten enthalt. In beiden Fallen wird jedoch bei der erfin- 
dungsgemafter Nutzung des Transaktionsmechanis- 
mus der veranderte Stand des Fehlversuchszahlers 
in den Sicherungspuffer eingetragen, und der Eintrag 
im Sicherungspuffer wird derart markiert, dafi die in 
diesem Eintrag enthaltenen Daten bei einem Wieder- 
herstellungsvorgang in den Speicher des Datentra- 
gers eingeschrieben werden. 

[0014] Vorzugsweise ist die Verwendung von Feh- 
lererkennungsCaten zumindest fur kritische 
Speicherbereicne des Datentragers vorgesehen. 
Diese kritischen Speicherbereiche konnen insbeson- 
dere den Fehlversuchszahler und/oder den Siche- 
rungspuffer enthalten. Entsprechend konnen sich die 
Eintrage im Sicherungspuffer auch auf die zum neu- 
en Stand des Fehlversuchszahlers gehorigen Fehler- 



erkennungsdaten beziehen, und die Eintrage konnen 
ihrerseits Fehlererkennungsdaten enthalten. 
[0015] Das erfindungsgemafie Computerpro- 
grammprodukt weist Programmbefehle auf, urn das 
erfindungsgemafce Verfahren zu implementieren. Ein 
derartiges Computerprogrammprodukt kann ein kdr- 
perliches Medium sein, beispielsweise ein Halbleiter- 
speicher oder eine Diskette oder eine CD-ROM, auf 
dem ein Programm zur Ausfuhrung des erfindungs- 
gemafcen Verfahrens gespeichert ist. Das Computer- 
programmprodukt kann jedoch auch ein nichtkorper- 
liches Medium sein, beispielsweise ein uberein Com- 
puternetzwerk ubermitteltes Signal. Das Computer- 
programmprodukt kann insbesondere ein Betriebs- 
system oder Teil eines Betriebssystems fur tragbare 
Datentrager sein, das im Zusammenhang mit der 
Herstellung und/oder Initialisierung und/oder Perso- 
nalisierung der Datentrager in diese eingebracht 
wird. 

[0016] Der tragbare Datentrager und das Compu- 
terprogrammprodukt weisen in bevorzugten Weiter- 
bildungen Merkmale auf, die den oben erwahnten 
und/oder den in den abhangigen Verfahrensansprii- 
chen genannten Merkmalen entsprechen. 
[0017] Weitere Merkmale, Aufgaben und Vorteile 
der Erfindung ergeben sich aus der folgenden Be- 
schreibung eines Ausfuhrungsbeispiels und mehre- 
rer Ausfuhrungsalternativen. Es wird auf die schema- 
tischen Zeichnungen verwiesen, in denen zeigen: 
[0018] Fig. 1 ein Blockdiagramm eines tragbaren 
Datentragers mit Komponenten, die fur das hier be- 
schriebene Ausfuhrungsbeispiel relevant sind, und 
[0019] Fig. 2 ein Ablaufdiagramm des Verfahrens 
im hier beschriebenen Ausfuhrungsbeispiel bis zur 
Ausfuhrung des geschutzten Vorgangs, 
[0020] Fig. 3 ein an Fig. 2 anknupfendes Ablaufdia- 
gramm bei einer erfolgreichen Ausfuhrung des ge- 
schutzten Vorgangs, und 

[0021] Fig. 4 ein Ablaufdiagramm eines Wiederher- 
stellungsvorgangs, bei dem der Fehlversuchszahler 
auf einen neuen Zahlerstand gesetzt wird. 

Ausfuhrungsbeispiel 

[0022] In Fig. 1 ist ein tragbarer Datentrager 10 ge- 
zeigt, der beispielsweise als Chipkarte oder Chipmo- 
dul ausgebildet ist. In an sich bekannter Weise weist 
der Datentrager 10 einen Halbleiterchip auf, auf dem 
ein Prozessorkern 12, ein Speicher 14 und eine 
Schnittstelle 16 zur drahtgebundenen oder drahtlo- 
sen Kommunikation ausgebildet sind. Der Speicher 
14 weist mehrere unterschiedliche Bereiche auf, 
namlich im vorliegenden Ausfuhrungsbeispiel einen 
als maskenprogrammiertes ROM (read only memo- 
ry) ausgestalteten Festwertspeicher 18, einen als 
RAM (random access memory) ausgestalteten, 
fluchtigen Arbeitsspeicher 20 und einen als EE- 
PROM (electrically erasable programmable read only 
memory) ausgestalteten, nicht-fluchtigen, beschreib- 
baren Speicher 22. 
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[0023] In an sich bekannter Weise enthalt der Fest- 
wertspeicher 18 wesentliche Teile des Betriebssys- 
tems des Datentragers 10 und der von diesem Be- 
triebssystem ausgefuhrten Programme. Im 
nicht-fluchtigen, beschreibbaren Speicher 22 befin- 
det sich ein Dateisystem 24, das im hier beschriebe- 
nen Ausfuhrungsbeispiel der Norm ISO 7816 ent- 
spricht und das eine Wurzel sowie Verzeichnisse und 
Dateien in mehreren Hierarchieebenen aufweist. Ins- 
besondere enthalt das Dateisystem 24 eine ein Byte 
grofce Datei "EFKEYD", die einen Fehlversuchszah- 
ler 26 bildet. Dem Dateisystem 24 sind Fehlererken- 
nungsdaten 28 zugeordnet, die in an sich bekannter 
Weise verwendet werden, urn dauerhafte oder tem- 
porare Fehler im nicht-fluchtigen Speicher 22 zu er- 
kennen. Zumindest der Fehlversuchszahler 26 ist 
iiber diese Fehlererkennungsdaten 28, die Prufsum- 
men einzelner Speicherzellen oder Speicherbereiche 
enthalten, abgesichert. 

[0024] Das Betriebssystem des Datentragers 10 
stellt einen fur diverse Aufgaben vorgesehenen Me- 
chanismus zur Verwaltung von Transaktionen bereit. 
Allgemein definiert eine Transaktion eine unteilbare 
Sequenz von Schreibvorgangen. Die Transaktions- 
verwaltung stellt sicher, dafi von diesen Schreibvor- 
gangen entweder alle oder keinerausgefuhrt wird. Zu 
diesem Zweck nutzt die Transaktionsverwaltung ei- 
nen im nicht-fluchtigen Speicher 22 befindlichen Si- 
cherungspuffer 30, in dem - je nach Ausgestaltung 
des Transaktionsmechanismus - bis zum Abschluft 
der Transaktion entweder die ursprunglich im Spei- 
cher 22 vorhandenen Daten oder die neu in den Spei- 
cher 22 einzuschreibenden Daten enthalten sind. 
Welche dieser beiden Varianten vorliegt, spielt fur die 
hier gegebene Beschreibung so gut wie keine Rolle, 
da bei der erfindungsgemaften Verwendung des 
Transaktionsmechanismus stets Daten, die einem 
neuen Zahlerstand des Fehlversuchszahlers 26 nach 
einem potentiellen Fehlversuch entsprechen, in den 
Sicherungspuffer30 eingeschrieben werden. 
[0025] Im vorliegenden Ausfuhrungsbeispiel weist 
der Sicherungspuffer 30 Eintrage mit jeweils mehre- 
ren Datenfeldern auf, namlich einem Kennzeichen T 
(tag), einer Adresse ADR, die die Startadresse der im 
Fehlerfall zu schreibenden Daten angibt, einer Lan- 
genangabe L der Daten und den eigentlichen Daten 
D. Ferner ist in jedem Eintrag im Sicherungspuffer 30 
ein Feld fur Fehlererkennungsdaten EDC (error de- 
tection code) enthalten, urn die Fehlerfreiheitdes Ein- 
trags uberprufen zu konnen. 

[0026] Es ist eine wichtige Eigenschaft des Trans- 
aktionsmechanismus, dafi die oben erwahnte Atomi- 
zitat vom Transaktionen auch dann sichergestellt ist, 
wenn die Versorgungsspannung des Datentragers 
10 oder die Kommunikationsverbindung zwischen 
dem Datentrager 10 und einem Terminal wahrend der 
Ausfuhrung einer Transaktion unerwartet unterbro- 
chen wird (sogenanntes tear-Ereignis). Urn dies zu 
gewahrleisten, wird beim Neustart des Datentragers 
10 nach dem tear-Ereignis der Sicherungspuffer 30 



auf aktive Eintrage untersucht, urn entweder den ur- 
sprunglichen Speicherzustand vor Beginn der Trans- 
aktion wieder herzustellen oder alle noch nicht aus- 
gefuhrten Schreibvorgange der Transaktion nachzu- 
holen. 

[0027] In dem hier beschriebenen Datentrager 10 ist 
die Transaktionsverwaltung derart erweitert, daft sie 
in effizienter Weise auch zur Verwaltung von Fehlver- 
suchszahlern - hier beispielsweise des Fehlver- 
suchszahlers 26 - eingesetzt werden kann. Dazu 
stellt die Transaktionsverwaltung eine zusatzliche 
Funktion bereit, die eine mogliche Anderung des 
Standes des Fehlversuchszahlers 26, welche einen 
Fehlversuch anzeigt, in dem Sicherungspuffer 30 
vormerkt. Diese Vormerkung erfolgt stets so, daft der 
im Sicherungspuffer 30 eingetragene, neue Zahler- 
stand bei einem Unterbrechungsfall und dem darauf- 
folgenden Neustart des Datentragers 10 in den Fehl- 
versuchszahler 26 geschrieben wird. Bei Ausgestal- 
tungen der Transaktionsverwaltung, die im Siche- 
rungspuffer 30 normalerweise die zu schreibenden 
Daten ablegen, wird die durch den Vormerkungsvor- 
gang begonnene Transaktion daher als vollstandig 
gekennzeichnet. In Ausgestaltungen, bei denen der 
Sicherungspuffer 30 normalerweise die ursprungli- 
chen Daten enthalt, wird dagegen die Transaktion 
bewufM noch als offen markiert, damit wahrend des 
Neustarts die vermeintlich ursprunglichen Daten - in 
Wirklichkeit aber der modifizierte Zahlerstand - in 
den Fehlversuchszahler 26 eingeschrieben wird. 
[0028] Fig. 2 zeigt einen beispielhaften Ablauf die- 
ser Vormerkung mit der darauffolgenden Ausfuhrung 
des geschiitzten Vorgangs. Der linke Teil von Fig. 2 
stellt die einzelnen Verfahrensschritte dar, wahrend 
im rechten Teil der jeweilige Inhalt einiger Bereiche 
des nicht-fluchtigen Speichers 22 angegeben ist. 
Diese Bereiche sind erstens der Fehlversuchszahler 
26, der sich im vorliegenden Beispiel an der Spei- 
cheradresse 8080 befindet, zweitens drei Byte der 
Fehlererkennungsdaten 28 mit der Startadresse 
8100, welche zur Absicherung des Fehlversuchszah- 
lers 26 dienen, und drittens der Sicherungspuffer 30. 
Alle Speicherwerte und Speicheradressen sind im 
vorliegenden Text und in den Zeichnungsfiguren 
stets in hexadezimaler Schreibweise angegeben. 
[0029] Im anfanglichen Speicherzustand von Fig. 2 
weist der Fehlversuchszahler 26 den Zahlerstand 03 
auf, wodurch angezeigt wird, dal3 bis zu einer Sper- 
rung des Datentragers 10 noch drei Fehlversuche zu- 
lassig sind. Bei jedem Fehlversuch wird im vorliegen- 
den Ausfuhrungsbeispiel der Zahlerstand dekremen- 
tiert. Es sind jedoch auch Ausgestaltungen vorgese- 
hen, bei denen der Fehlversuchszahler 26 bei jedem 
Fehlversuch inkrementiert wird. Die Fehlererken- 
nungsdaten 28 ab der Speicheradresse 8100, die 
dem Fehlversuchszahler 26 zugeordnet sind, lauten 
beispielsweise AB 3F 00. Im Sicherungspuffer 30 ist 
ein einziger Eintrag 32 enthalten, der den Wert 00 als 
Kennzeichen T aufweist. Dieser Wert kennzeichnet 
einen inaktiven Eintrag und gleichzeitig das Pufferen- 
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de. Der Sicherungspuffer 30 ist damit leer. 
[0030] Als erster Schritt 40 des bereits erwahnten 
Vormerkungsvorgangs wird in den Sicherungspuffer 
30 ein neuer Wert fur den Fehlversuchszahler 26 ein- 
getragen, der einem neuen Zahlerstand bei einem 
angenommenen Fehlversuch entspricht. Im vorlie- 
genden Beispiel ist dies der Wert 02. Ferner wird ein 
entsprechender Eintrag 34 im Sicherungspuffer 30 
erstellt, der den Wert AA als Kennzeichen fur eine lo- 
kale Transaktion, die Adrefcangabe 8080 als Spei- 
cheradresse des Fehlversuchszahlers 26, die Byte- 
lange 01, den Datenwert 02 als neuen Stand des 
Fehlversuchszahlers 26 und die den Eintrag 34 absi- 
chernden Fehlererkennungsdaten F0 99 00 aufweist. 
Ein weiterer Eintrag 36 mit einem Kennzeichen 00 
bezeichnet das Fufferende. 

[0031] Im vorliegenden Ausfuhrungsbeispiel wird 
der Eintrag 34 als zweiter Eintrag mit einem Versatz 
(offset) von zehn Byte gegenuber dem Anfang des 
Sicherungspuffers 30 in diesen eingetragen. Mit an- 
deren Worten wird der Sicherungspuffer 30 von "hin- 
ten nach vorne" - also in entgegengesetzter Richtung 
zur Auswertungsreihenfolge bei einem moglichen 
Wiederherstellungsvorgang bei einem Neustart des 
Datentragers 10 - gefullt. Wenn zum jetzigen Zeit- 
punkt ein Spannungsausfall oder ein tear-Ereignis er- 
folgen wurde, wurde bei dem Wiederherstellungsvor- 
gang zunachst der Eintrag 32 mit dem Kennzeichen 
OOausgewertetwerden. Da der Kennzeichnungswert 
00 das Ende des Sicherungspuffers 30 markiert, wur- 
de dann die Auswertung ohne einen Schreibvorgang 
in den Speicher 22 beendet werden. Auf diese Weise 
wird ein inkonsistenter Zustand zwischen dem Fehl- 
versuchszahler 26 und den entsprechenden Fehler- 
erkennungsdaten 28 vermieden, der auftreten konn- 
te, wenn in Schritt 40 zunachst der erste Eintrag 32 
geschrieben werden wurde. Im Ergebnis werden da- 
her der vorliegende Schritt 40 und der folgende 
Schritt 42 wie eine atomare Transaktion ausgefuhrt. 
[0032] Wie bereits angedeutet, werden in Schritt 42 
neu berechnete Fehlererkennungsdaten, die an den 
vorgemerkten Zahlerstand 02 des Fehlversuchszah- 
lers 26 angepafct sind, in den Sicherungspuffer 30 
geschrieben. Dieser Eintrag bildet einen neuen ers- 
ten Eintrag 32. Die Byteanzahl des neuen ersten Ein- 
trags 32 entspricht dem im vorhergehenden Schritt 
40 gewahlten Versatz fur den zweiten Eintrag 34, 
also im vorliegenden Beispiel zehn Byte. Wie in 
[0033] Fig. 2 dargestellt, weist der neue erste Ein- 
trag 32 das Kennzeichen AA mit der Bedeutung einer 
lokalen Transaktion auf. Der Eintrag 32 enthalt ferner 
die Zieladresse 8100 fur die einzuschreibenden Da- 
ten, die Datenlange 03 und die drei Datenbyte 66 DE 
00 als Fehlererkennungsdaten fur den Zahlerstand 
02. Aufcerdem enthalt der neue erste Eintrag 32 eige- 
ne Fehlererkennungsdaten mit den beispielhaften 
Werten 4D 36 00. 

[0034] Der Vormerkungsvorgang ist damit beendet. 
Im nun folgenden Schritt 44 wird der geschutzte Vor- 
gang ausgefuhrt. Typischerweise ist dieser geschutz- 



te Vorgang ein als Schlusseloperation bezeichneter 
Vergleich einer internen Geheimzahl oder eines inter- 
nen Schlussels mit einem externen Wert, den der Da- 
tentrager uber die Schnittstelle 16 erhalten hat. Der 
Inhalt der in Fig. 2 dargestellten Speicherbereiche 
wird durch diesen Vorgang nicht verandert. 
[0035] Im Gutfall, also wenn sich bei dem Vergleich 
eine Ubereinstimmung ergeben hat, wird das Verfah- 
ren gemafi Fig. 3 fortgesetzt. Hierbei werden in 
Schritt 46 die im Sicherungspuffer 30 enthaltenen 
Eintrage 32 und 34, die lediglich einen neuen Stand 
des Fehlversuchszahlers 26 fur einen moglichen 
Schlechtfall enthalten, deaktiviert. Hierzu reicht es 
aus, das Kennzeichen T des ersten Eintrags 32 auf 
den Wert 00 zu setzen, der das Ende des Siche- 
rungspuffers 30 angibt. Derweitere Inhalt des Siche- 
rungspuffers 30 braucht nicht uberschrieben zu wer- 
den. 

[0036] Insgesamt sind somit im Gutfall 20 Byte in 
den nicht-fluchtigen Speicher 22 geschrieben wor- 
den, namlich neun Byte bei Schritt 40, zehn Byte bei 
Schritt 42 und ein Byte bei Schritt 46. 
[0037] Im hier beschriebenen Ausfuhrungsbeispiel 
wird der Stand des Fehlversuchszahlers 26 im Gutfall 
nicht verandert. Es sind jedoch auch Ausgestaltun- 
gen vorgesehen, bei denen der Fehlversuchszahler 
26 im Gutfall stets auf einen vorgegebenen Initialwert 
- beispielsweise den Wert 03 - gesetzt wird. Dies 
braucht naturlich nur dann zu geschehen, wenn der 
aktuelle Zahlerstand von diesem Initialwert abweicht. 
Bei jeder Veranderung des Zahlerstands sind auch 
die zugehdrigen Fehlererkennungsdaten 28 entspre- 
chend anzupassen. 

[0038] Falls bei der Ausfuhrung des geschutzten 
Vorgangs, also z.B. der Schlusseloperation, in Schritt 
44 eine Unterbrechung der Stromversorgung oder 
ein tear-Ereignis erfolgt, fuhrt der Datentrager 10 auf 
an sich bekannte Weise beim nachsten Neustart - 
genauer gesagt, als Reaktion auf das erste einge- 
hende Kommando - eine Prufung auf noch zu bear- 
beitende Transaktionen durch. Solche Transaktionen 
werden durch aktive Eintrage im Sicherungspuffer 30 
angezeigt. Im vorliegenden Beispiel liegen zwei akti- 
ve Eintrage 32, 34 vor, welche dann in einem Wieder- 
herstellungsvorgang der Reihe nach abgearbeitet 
werden. 

[0039] Fig. 4 zeigt den Ablauf dieses Wiederher- 
stellungsvorgangs. Ausgehend von dem Speicherzu- 
stand wahrend der Ausfuhrung des geschutzten Vor- 
gangs wird zunachst - in Schritt 48 - der erste Eintrag 
32 im Sicherungspuffer 30 verarbeitet. Hierbei wer- 
den die Fehlererkennungsdaten 66 DE 00, die auf 
den dekrementierten Stand 02 des Fehlversuchszah- 
lers 26 zugeschnitten sind, mitderStartadresse 8100 
in den Speicher22 geschrieben. Bei derVerarbeitung 
des zweiten Eintrags 34 in Schritt 50 wird dann der 
neue Zahlerstand 02 in den Fehlversuchszahler 26, 
also an die Speicheradresse 8080, eingetragen. Der 
konsistente Zustand zwischen dem Stand des Fehl- 
versuchszahlers 26 und den zugeordneten Fehlerer- 
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kennungsdaten 28 ist damit wieder hergestellt. 
[0040] In einem abschlieftenden Schritt 52 werden 
die Eintrage 32, 34 im Sicherungspuffer 30 deakti- 
viert, indem der Kennzeichnungswert 00 in das 
tag-Feld des ersten Eintrags 32 geschrieben wird. 
Ebenso wie in dem in Fig. 3 dargestellten Gutfal! ist 
kein weiteres Uberschreiben des Inhalts des Siche- 
rungspuffers 30 erforderlich. 

[0041] Bislang wurden der Gutfall sowie der Fall ei- 
ner Unterbrechung wahrend der Ausfuhrung des ge- 
schutzten Vorgangs in Schritt 44 beschrieben. Natur- 
lich ist es auch moglich, daR die Ausfuhrung des ge- 
schutzten Vorgangs fehlschlagt, weil z.B. die Ober- 
priifung der eingegebenen Geheimzahl keine Uber- 
einstimmung mit dem korrekten Wert ergibt. In die- 
sem Fall wird im vorliegenden Ausfuhrungsbeispiel 
ebenfalls der in Fig. 4 dargestellte Wiederherstel- 
lungsvorgang ausgefiihrt, urn die im Sicherungspuf- 
fer 30 enthaltenen Eintrage 32, 34 in den nicht-fluch- 
tigen Speicher22 zu ubertragen. In Ausfuhrungsvari- 
anten kann jedoch auch vorgesehen sein, daft der 
Fehlversuchszahler 26 und die dazugehdrigen Feh- 
lererkennungsdaten 28 unmittelbar - ohne Mitwir- 
kung der Transaktionsverwaltung - auf neue Werte 
gesetzt werden. Es mussen dann lediglich noch-wie 
in Schritt 46 von Fig. 3 - die Eintrage 32, 34 im Siche- 
rungspuffer 30 durch Einschreiben eines Kennzei- 
chenwertes 00 an den Anfang des Sicherungspuffers 
30 deaktiviert werden. 

Pate nta n s prii c he 

1 . Verfahren zum Verwalten eines Fehlversuchs- 
zahlers (26) in einem nicht-fluchtigen Speicher (22) 
eines tragbaren Datentragers (10), wobei 

- der Fehlversuchszahler (26) zur Uberwachung der 
Anzahl von Fehlversuchen bei der Ausfuhrung eines 
geschutzten Vorgangs dient, und wobei 

- der Datentrager (10) einen Sicherungspuffer (30) 
aufweist, in dem Daten speicherbar sind, welche bei 
einem zumindest im Zusammenhang mit einem Neu- 
start des Datentragers (10) ausgelosten Wiederher- 
stellungsvorgang zumindest in den nicht-fluchtigen 
Speicher (22) des Datentragers (10) einzuschreiben 
sind, gekennzeichnet durch die Schritte: 

- Einschreiben eines Eintrags (34) in den Siche- 
rungspuffer (30) des Datentragers (10), wobei der 
Eintrag (34) einen Wert enthalt, der einem neuen 
Stand des Fehlversuchszahlers (26) nach einem an- 
genommenen Fehlversuch entspricht, so daft dieser 
Wert bei einem Wiederherstellungsvorgang in den 
Fehlversuchszahler (26) eingeschrieben wird, und 

- Ausfuhren (44) des geschutzten Vorgangs. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daft der in den Sicherungspuffer (26) einge- 
schriebene Eintrag (34) zumindest nach einer erfolg- 
reichen Ausfuhrung des geschutzten Vorgangs deak- 
tiviert wird. 



3. Verfahren nach Anspruch 1 oder Anspruch 2, 
dadurch gekennzeichnet, daft nach einem Fehlver- 
such bei der Ausfuhrung des geschutzten Vorgangs 
der Stand des Fehlversuchszahlers (26) verandert 
wird, urn den Fehlversuch anzuzeigen, und daft dann 
der in den Sicherungspuffer (26) eingeschriebene 
Eintrag (34) deaktiviert wird. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daft zur Veranderung des Standes des 
Fehlversuchszahlers (26) nach einem Fehlversuch 
und zur Deaktivierung des in den Sicherungspuffer 
(26) eingeschriebenen Eintrags (34) der Wiederher- 
stellungsvorgang ausgefiihrt wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, daft im Zusammenhang ei- 
ner erfolgreichen Ausfuhrung des geschutzten Vor- 
gangs der Stand des Fehlversuchszahlers (26) un- 
verandert bleibt oder auf einen Initialwert zuruckge- 
setzt wird. 

6. Verfahren nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, daft der Sicherungspuffer 
(30) Teil eines vom Datentrager (10) auch zu anderen 
Zwecken bereitgestellten Transaktionsmechanismus 
ist. 

7. Verfahren nach Anspruch 6, dadurch gekenn- 
zeichnet, daft der Eintrag (34) im Sicherungspuffer 
(30) als Bestandteil einer Transaktion derart markiert 
wird, daft die in diesem Eintrag (34) enthaltenen Da- 
ten bei einem Wiederherstellungsvorgang in den 
Speicher (22) des Datentragers (10) eingeschrieben 
werden. 

8. Verfahren nach einem der Anspruche 1 bis 7, 
dadurch gekennzeichnet, daft zumindest der Fehl- 
versuchszahler (26) mittels Fehlererkennungsdaten 
(28) auf das Auftreten von Speicherfehlern uber- 
wacht wird, und daft in den Sicherungspuffer (30) ne- 
ben dem neuen Stand des Fehlversuchszahlers (26) 
auch die dazu gehorigen Fehlererkennungsdaten 
(28) eingeschrieben werden. 

9. Verfahren nach Anspruch 8, dadurch gekenn- 
zeichnet, daft der neue Stand des Fehlversuchszah- 
lers (26) und die dazu gehorigen Fehlererkennungs- 
daten (28) in umgekehrter Reihenfolge der Verarbei- 
tung bei einem Wiederherstellungsvorgang in den Si- 
cherungspuffer (30) geschrieben werden. 

10. Verfahren nach Anspruch 8 oder Anspruch 9, 
dadurch gekennzeichnet, daft auch der Sicherungs- 
puffer (30) mittels Fehlererkennungsdaten (EDC) auf 
das Auftreten von Speicherfehlern uberwacht wird. 

11. Datentrager (10), insbesondere Chipkarte 
oder Chipmodul, mit einem Prozessorkern (12) und 
einem nicht-fluchtigen Speicher (22), wobei der Pro- 
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zessorkern (12) zur Ausfuhrung eines Verfahrens 
nach einem der Anspruche 1 bis 10 eingerichtet ist. 

12. Computerprogramrnprodukt, das Programm- 
befehle aufweist, urn einen Prozessorkern (12) eines 
tragbaren Datentragers (10) zu veranlassen, ein Ver- 
fahren nach eineri der Anspruche 1 bis 10auszufuh- 
ren. 

Es folgen 3 Blatt Zeichnungen 
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Anhangende Zeichnungen 
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Fig. 3 
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